Después de casi 3 días, seguimos con el sensacionalismo entorno al ramsonware que se descubrió el viernes y que afectó a Telefónica, según los medios de comunicación y, a otras grandes (y no tan grandes) empresas y que logró expandirse hasta a 100 países.

 

Si ningún tipo de ánimo de restarle importancia a este incidente, está claro que (al menos en España) no tenemos un periodísmo especializado en la materia, ya que el enfoque que se le está dando en muchos medios, es muy desacertado.

Según los medios de comunicación, el problema derivó de un Sistema Operativo Windows desactualizado, añadido a que era necesario que un usuario pulsase en un enlace o abriese algún archivo. Primera aclaración: si lo segundo no hubiese ocurrido, nada ni nadie hubiese sufrido problema alguno. El problema no ha se ha dado a través de un acceso no autorizado a la red. El malware no se ha saltado ni un cortafuegos (firewall), sistema de detección de intrusos (IDS), elevación de prvilegios, no... alguien hizo clic en un lugar que no debía...

Dicho esto, los expertos hemos llegado a una conclusión consensuada sin ningún tipo de discusión alguna: ha sido una metedura de pata en toda regla. Una metedura de pata, por desgracia, demasiado habitual en nuestras empresas ya que en estas, es demasiado habitual que no se cumplan los mínimos protocolos de seguridad que se conocen y que se recomiendan desde hace años, que entre otros son:

- Formar y concienciar a los usuarios de que ellos son una parte muy importante de la seguridad corporativa y que no deben pulsar en enlaces no confiables, abrir correos de remitentes no confirmados y, ni manipular en sus ordenadores archivos que no ofrezcan las minimas garantías de seguridad.

- Mantener el/los Sistema/s Operativo/s actualizado/s, seria el siguiente punto, no siendo menos importante que el primero.

¿Es una lata actualizar el Sistema Operativo? Si lo és, pero es peor perder la información ni que sea la de un solo día, ¿no?

En el caso del ransomware del viernes, es más que posible que los atacantes se hayan visto más sorprendidos por el ataque que nosotros. No se han infiltrado en las redes corporativas de las empresas utilizando sofisticadas técnicas de hacking ni complejos esquemas de ingeniería social. Esto hubiese requerido mucha planificación anterior al ataque y alguien capaz de hacer algo así no cometería la torpeza de descubrirse mediante algo tan evidente como un ramsonware. Si hubiese sido un ataque planificado, probablemente habrían tratado de inyectar en los sistema algún tipo de APT (Advanced Persistent Threat), que les hubiera permitido capturar información sensible, desactivar sistemas críticos o controlar grandes cantidades de dispositivos para hacer posteriores ataques DDoS (Distributed Denial of Service).

Pero en estos casos es necesario aplicar aún más medidas de seguridad a estos equipos y tratarlos como lo que son, riesgos para la seguridad. Mantenerlos aislados, dar formación específica a sus usuarios y acelerar todo lo posible los procesos de actualización, lo que requiere de inversión para prevenir.

Las empresas que se han visto afectadas disponen de políticas de copias de seguridad que hacen que un ataque con ramsonware no pase de ser una molestia y de provocar la caída de los sistemas durante algunas horas como mucho, lo mínimo necesario para hacer la restauración. Los ataques ramsonware son rentables cuando afectan a pequeñas empresas y particulares que no suelen contar con estas políticas de backup o que las van a implementar cuando ya es demasiado tarde, y que no les queda otro remedio que pagar el rescate.

Lo verdaderamente preocupante, y no se está hablando tanto de ello, es que en más de 75.000 organizaciones de España haya ordenadores sin actualizar , con operadores que pulsan en enlaces desconocidos o abren archivos potencialmente peligrosos.

Enric Sandoval

Mayo de 2017

  • 3bits Logo
  • Accio3
  • Animationbox
  • Checkit
  • Setlegal
  • Versor
  • Wekow